Что-то редактирует DNSы подключения

[Юрий Скульчук]

Доброго времени суток. Недавно столкнулся с некоторыми косяками, связанными с инэтом - не мог установить хром, получить обновления майкрософта и зайти на некоторые сайты, хотя все остальное работает адекватно. Потом просто случайно залез в настройки ipv4 и увидел , что у меня там вбиты вообще левые DNSы. Убрал обратно на автоматическое получение и все было гуд, но спустя час комп что-то подгрузил и вуаля - в настройках снова те же DNSы. Пробывал забивать свои, но спустя какое-то время проблема возвращается. Сканил Кюритом и адвклинэром - результата 0. 

Не могу приложить автолог, так как скачиваемый автолог с вашего мануала орет, что он не обновлен и нужна более свежая версия. Может кто уже сталкивался с подобным? Приложу список скана HijackThis вдруг поможет

вот эти адреса 

[Sandor]

Здравствуйте!

 

скачиваемый автолог с вашего мануала орет, что он не обновлен и нужна более свежая версия

Скачайте ещё раз и пробуйте.

[Юрий Скульчук]

Здравствуйте!

 

скачиваемый автолог с вашего мануала орет, что он не обновлен и нужна более свежая версия

Скачайте ещё раз и пробуйте.

 

CollectionLog-2019.07.24-23.13.zip

[Sandor]

AdwCleaner, версия 7.2.1 - деинсталлируйте через Панель управления - Удаление программ. Это не официальная версия (Официальная является портативной и не устанавливается в систему).

 

"Пофиксите" в HijackThis:

O22 - Task: avbmeoufvyhlv - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ybeymatncgje\hiqqzzipngvnjtb.msi" WEBID=P_CHR_UPDATE TKNME=avbmeoufvyhlv
O22 - Task: caqqzanhainzt - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\yhfztpsmymap\dqswguacwebukpz.msi" WEBID=P_CHR_UPDATE TKNME=caqqzanhainzt
O22 - Task: dqpmrnvmvsouj - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\apujoqztfivq\cibyrolvkthbiod.msi" WEBID=P_CHR_UPDATE TKNME=dqpmrnvmvsouj
O22 - Task: fvdryfwvfstvqzx - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\mjgulnmtklyx\mwsluoscsakxeox.msi" WEBID=P_CHR_UPDATE TKNME=fvdryfwvfstvqzx
O22 - Task: gtydskrqkrskz - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\fzxvxstiqgje\bjeoaekqlvnhoep.msi" WEBID=P_CHR_UPDATE TKNME=gtydskrqkrskz
O22 - Task: jbnxobibegdlj - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\wuziinreupxe\rcsrgdypbukqtqb.msi" WEBID=P_CHR_UPDATE TKNME=jbnxobibegdlj
O22 - Task: jhslujafvhtlu - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\dkqlvihssgco\bpdjxeidsgohyxw.msi" WEBID=P_CHR_UPDATE TKNME=jhslujafvhtlu
O22 - Task: jpzscxuimlwqb - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\eychhgichbir\najsiatysevlfgv.msi" WEBID=P_CHR_UPDATE TKNME=jpzscxuimlwqb
O22 - Task: mglttlpejhiyqke - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\eychhgichbir\najsiatysevlfgv.msi" WEBID=P_CHR_UPDATE TKNME=mglttlpejhiyqke
O22 - Task: ndzcksnrxvkxfhc - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\apujoqztfivq\cibyrolvkthbiod.msi" WEBID=P_CHR_UPDATE TKNME=ndzcksnrxvkxfhc
O22 - Task: ofrtuamyhbjruuq - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ckuopanvyumd\qsfwkzgpcicocug.msi" WEBID=P_CHR_UPDATE TKNME=ofrtuamyhbjruuq
O22 - Task: plcqphtgshvnlot - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\wuziinreupxe\rcsrgdypbukqtqb.msi" WEBID=P_CHR_UPDATE TKNME=plcqphtgshvnlot
O22 - Task: ulkhqemqxteuyoy - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\yhfztpsmymap\dqswguacwebukpz.msi" WEBID=P_CHR_UPDATE TKNME=ulkhqemqxteuyoy
O22 - Task: vetqdqjtvtarb - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\mjgulnmtklyx\mwsluoscsakxeox.msi" WEBID=P_CHR_UPDATE TKNME=vetqdqjtvtarb
O22 - Task: vrnjavniifgubqk - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\fzxvxstiqgje\bjeoaekqlvnhoep.msi" WEBID=P_CHR_UPDATE TKNME=vrnjavniifgubqk
O22 - Task: wmmnvuswhjihrxe - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\dkqlvihssgco\bpdjxeidsgohyxw.msi" WEBID=P_CHR_UPDATE TKNME=wmmnvuswhjihrxe
O22 - Task: xquapqhgzsjyehn - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ybeymatncgje\hiqqzzipngvnjtb.msi" WEBID=P_CHR_UPDATE TKNME=xquapqhgzsjyehn
O22 - Task: xvhwmdstpinte - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ckuopanvyumd\qsfwkzgpcicocug.msi" WEBID=P_CHR_UPDATE TKNME=xvhwmdstpinte

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Юрий Скульчук]

AdwCleaner, версия 7.2.1 - деинсталлируйте через Панель управления - Удаление программ. Это не официальная версия (Официальная является портативной и не устанавливается в систему).

 

"Пофиксите" в HijackThis:

O22 - Task: avbmeoufvyhlv - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ybeymatncgje\hiqqzzipngvnjtb.msi" WEBID=P_CHR_UPDATE TKNME=avbmeoufvyhlv
O22 - Task: caqqzanhainzt - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\yhfztpsmymap\dqswguacwebukpz.msi" WEBID=P_CHR_UPDATE TKNME=caqqzanhainzt
O22 - Task: dqpmrnvmvsouj - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\apujoqztfivq\cibyrolvkthbiod.msi" WEBID=P_CHR_UPDATE TKNME=dqpmrnvmvsouj
O22 - Task: fvdryfwvfstvqzx - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\mjgulnmtklyx\mwsluoscsakxeox.msi" WEBID=P_CHR_UPDATE TKNME=fvdryfwvfstvqzx
O22 - Task: gtydskrqkrskz - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\fzxvxstiqgje\bjeoaekqlvnhoep.msi" WEBID=P_CHR_UPDATE TKNME=gtydskrqkrskz
O22 - Task: jbnxobibegdlj - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\wuziinreupxe\rcsrgdypbukqtqb.msi" WEBID=P_CHR_UPDATE TKNME=jbnxobibegdlj
O22 - Task: jhslujafvhtlu - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\dkqlvihssgco\bpdjxeidsgohyxw.msi" WEBID=P_CHR_UPDATE TKNME=jhslujafvhtlu
O22 - Task: jpzscxuimlwqb - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\eychhgichbir\najsiatysevlfgv.msi" WEBID=P_CHR_UPDATE TKNME=jpzscxuimlwqb
O22 - Task: mglttlpejhiyqke - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\eychhgichbir\najsiatysevlfgv.msi" WEBID=P_CHR_UPDATE TKNME=mglttlpejhiyqke
O22 - Task: ndzcksnrxvkxfhc - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\apujoqztfivq\cibyrolvkthbiod.msi" WEBID=P_CHR_UPDATE TKNME=ndzcksnrxvkxfhc
O22 - Task: ofrtuamyhbjruuq - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ckuopanvyumd\qsfwkzgpcicocug.msi" WEBID=P_CHR_UPDATE TKNME=ofrtuamyhbjruuq
O22 - Task: plcqphtgshvnlot - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\wuziinreupxe\rcsrgdypbukqtqb.msi" WEBID=P_CHR_UPDATE TKNME=plcqphtgshvnlot
O22 - Task: ulkhqemqxteuyoy - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\yhfztpsmymap\dqswguacwebukpz.msi" WEBID=P_CHR_UPDATE TKNME=ulkhqemqxteuyoy
O22 - Task: vetqdqjtvtarb - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\mjgulnmtklyx\mwsluoscsakxeox.msi" WEBID=P_CHR_UPDATE TKNME=vetqdqjtvtarb
O22 - Task: vrnjavniifgubqk - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\fzxvxstiqgje\bjeoaekqlvnhoep.msi" WEBID=P_CHR_UPDATE TKNME=vrnjavniifgubqk
O22 - Task: wmmnvuswhjihrxe - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\dkqlvihssgco\bpdjxeidsgohyxw.msi" WEBID=P_CHR_UPDATE TKNME=wmmnvuswhjihrxe
O22 - Task: xquapqhgzsjyehn - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ybeymatncgje\hiqqzzipngvnjtb.msi" WEBID=P_CHR_UPDATE TKNME=xquapqhgzsjyehn
O22 - Task: xvhwmdstpinte - C:\WINDOWS\system32\msiexec.exe /quiet /i "C:\Users\Chiikiro\AppData\Roaming\ckuopanvyumd\qsfwkzgpcicocug.msi" WEBID=P_CHR_UPDATE TKNME=xvhwmdstpinte

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Addition.txt

FRST.txt

[Sandor]

1. Не цитируйте все предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

2.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-2863940260-2839299216-1221173863-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  FF user.js: detected! => C:\Users\Chiikiro\AppData\Roaming\Mozilla\Firefox\Profiles\ejggm0uk.default\user.js [2019-07-24]
  2019-07-24 17:46 - 2019-07-24 17:46 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\wuziinreupxe
  2019-07-24 14:43 - 2019-07-24 14:43 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\mjgulnmtklyx
  2019-07-24 05:30 - 2019-07-24 05:30 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\ckuopanvyumd
  2019-07-24 04:50 - 2019-07-24 04:50 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\yhfztpsmymap
  2019-07-24 04:50 - 2019-07-24 04:50 - 000000000 ____D C:\ProgramData\WindowsComponent
  2019-07-23 13:27 - 2019-07-23 13:27 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\eychhgichbir
  2019-07-23 12:29 - 2019-07-23 12:29 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\ybeymatncgje
  2019-07-23 12:06 - 2019-07-23 12:06 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\dkqlvihssgco
  2019-07-23 11:55 - 2019-07-23 11:55 - 000000000 ____D C:\Users\Chiikiro\AppData\Roaming\fzxvxstiqgje
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Юрий Скульчук]

ок

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Юрий Скульчук]

ну пока вроде все тип-топ

 

благодарствую челобитной )

[Sandor]

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.